?Qu¨¦ supone la filtraci¨®n de Wikileaks para tu seguridad?

A ra¨ªz de las filtraciones de Wikileaks sobre un supuesto m¨¦todo de ciberespionaje que se atribuye a la CIA, los expertos en seguridad han analizado ya lo que supone. Al mismo tiempo muchos usuarios despreocupados normalmente por esos temas se preguntan c¨®mo puede afectarles en su d¨ªa a d¨ªa al usar tel¨¦fonos, ordenadores, televisores conectos o las apps de sus m¨®viles.

El genio est¨¢ fuera de la botella: en la pr¨¢ctica cualquiera puede leer todo lo que se ha filtrado abriendo el enlace del tuit de Wikileaks, descargando los 500 MB de documentos y descomprimi¨¦ndolos con la contrase?a elegida para la ocasi¨®n: "Destr¨®zala en mil pedazos y disp¨¦rsala con los vientos" (en ingl¨¦s). Resulta ser una frase elegida con mucha intenci¨®n: se atribuye a John F. Kennedy en referencia a lo que le hubiera gustado hacer con la CIA tras sonados fracasos como los de Bah¨ªa de Cochinos en 1961.

Snowden: "Los agujeros dejados por la CIA son peligrosos porque cualquier hacker puede aprovecharlos para colarse en los m¨®viles"

Lo que ha salido a la luz es s¨®lo informaci¨®n, un primer cap¨ªtulo llamado Year Zero ("a?o cero") de "algo m¨¢s grande" (denominado Vault 7), que seg¨²n han informado medios estadounidenses y brit¨¢nicos podr¨ªa ser un inventario del ciberarsenal de la CIA. Los primeros 8.761 documentos contienen todo tipo de datos y referencias relativas al software y m¨¦todos atribuidos al Centro de Ciberinteligencia estadounidense: organigramas, procedimientos, software malicioso, virus, troyanos y vulnerabilidades (como las llamadas "ataques de d¨ªa cero") entre otros. El software en s¨ª no est¨¢ incluido.

?Cu¨¢nto tiene todo esto de secreto y novedoso? Es dif¨ªcil valorarlo: buena parte de estas vulnerabilidades, herramientas de espionaje e intrusi¨®n ya se conoc¨ªan en el pasado. Y sobre su novedad y "calidad" Wikileaks suele exagerar, como comenta el especialista en seguridad Nicholas Weaver. Parte de esta informaci¨®n y lo que se puede hacer con ella puede incluso llevar a?os circulando por la red, seg¨²n el experto en seguridad Bruce Schneier.

El contenido de la revelaci¨®n

En los documentos hay numerosas referencias a vulnerabilidades de muchas versiones de todos los sistemas operativos de los dispositivos modernos, desde iOS a Android; tambi¨¦n a formas de atacar Windows, Linux, Mac OS e incluso a televisores y coches conectados a Internet. En general se indica cu¨¢l es la vulnerabilidad, qui¨¦n la encontr¨® (o si se compr¨® a empresas o individuos especializados en seguridad) y para qu¨¦ puede usarse. En ocasiones tambi¨¦n se indica si esas herramientas han sido compartidas con empresas o gobiernos extranjeros.

Edward Snowden (consultor y antiguo empleado de la CIA y la NSA) menciona en Twitter una referencia a c¨®mo la CIA parece compartir esos secretos, en concreto con el GCQH (Cuartel General de Comunicaciones del Gobierno Brit¨¢nico). "Que la CIA haya desarrollado vulnerabilidades en productos estadounidenses y luego haya dejado todos esos agujeros abiertos de forma intencionada es de una imprudencia supina", dice. "Esos agujeros son peligrosos porque hasta que alguien los cierre cualquier hacker puede aprovecharlos para colarse en los m¨®viles de todo del mundo".

En la pr¨¢ctica cualquiera puede leer todo lo que se ha filtrado abriendo el enlace del tuit de Wikileaks

En el caso de los "ataques de d¨ªa cero" la situaci¨®n al respecto es pr¨¢cticamente de manual: son vulnerabilidades que muchas veces no conocen ni los propios fabricantes del software, fallos que permiten atacar un dispositivo o servicio antes de que otros puedan hacerlo. Si no se revelan, pueden seguir us¨¢ndose aunque el fabricante lance una nueva versi¨®n.

?Qu¨¦ conviene hacer cuando alguien encuentra una vulnerabilidad de este tipo? ?Avisar al fabricante para que lo solucione y evite problemas a todo el mundo? ?O aprovecharlo dentro de lo posible hasta que sea otro quien lo encuentre y avise? Tal y como critica Kevin Mitnick, consultor en seguridad inform¨¢tica y cracker redimido, "parece que el gobierno de los Estados Unidos lo tiene claro: no va a comprometer la ventaja que les proporcionan sus d¨ªas cero simplemente por proteger la privacidad de la gente".

C¨®mo afecta a los usuarios normales y corrientes

En versi¨®n resumida: el mayor problema no es tanto que se puedan interceptar apps como WhatsApp, Telegram o Signal (que en realidad son seguras y cuyos m¨¦todos de cifrado de seguridad no han sido vulnerados), sino que los que est¨¢n comprometidos son sistemas completos como iOS o Android, donde se captura la informaci¨®n antes de que sea cifrada.

?Son las apps seguras? "Como siempre lo han sido", dice Bruce Schneier. "Una forma de saltarse su seguridad es interceptar los dispositivos, haci¨¦ndose con los textos y contenidos antes de que se cifren y env¨ªen. No hay nada nuevo en eso", a?ade.

Las mejores recomendaciones siguen siendo no rootear o hacer jailbreak a los terminales (Android o iOS) para alterar sus sistemas; no instalar aplicaciones poco fiables o desconocidas, mantener actualizado el sistema y las apps y elegir fabricantes que actualicen sus sistemas y productos a menudo. Usar un m¨®vil viejo puede ser la peor idea, pues sus agujeros de seguridad pueden no estar corregidos y adem¨¢s ser bien conocidos.

Excepto desconectarse del mundo, poco m¨¢s se puede hacer. Para proteger su tel¨¦fono de un ataque concienzudo un individuo deber¨ªa no abrir nunca el navegador, no usarlo para el correo electr¨®nico y no hacer clic en ning¨²n enlace. Algo poco realista, a menos que se quiera desempolvar el Nokia 3310?ladrillo para darle uso diario. Siempre se ha dicho que la capacidad de interceptar una comunicaci¨®n o vulnerar un dispositivo concreto de un individuo en particular es ¨²nicamente una cuesti¨®n de tiempo, dinero y ganas ¨C y esta m¨¢xima no ha cambiado mucho.

Eso s¨ª: una vez publicadas las vulnerabilidades se quedan obsoletas r¨¢pidamente porque los fabricantes suelen tomar medidas. Pero esto no siempre es f¨¢cil: los dispositivos antiguos que no se pueden actualizar, los que no son ya econ¨®micamente rentables o muchos que simplemente est¨¢n conectados masivamente pueden seguir siendo vulnerables.

Las mejores recomendaciones siguen siendo no instalar aplicaciones poco fiables o desconocidas, mantener actualizado el sistema y las apps y elegir fabricantes que actualicen sus sistemas y productos a menudo

Apple ha afirmado ya que muchas de las vulnerabilidades de Year Zero son antiguas y est¨¢n resueltas, mientras trabajan en el resto. Telegram ha publicado una nota reafirmando que su app sigue siendo segura y que efectivamente el problema proviene de las plataformas y sistemas operativos. Google todav¨ªa no ha publicado nada y ha declinado comentar, al igual que Samsung, a preguntas del Washington Post.

Nada de esto deber¨ªa sorprendernos: que existen agencias de espionaje internacional capaces de interceptar pr¨¢cticamente cualquier contenido que circule por las redes no es precisamente una novedad. Tel¨¦fonos con software esp¨ªa para rastrear los pasos sobre el mapa de una persona, televisores que graban el sonido ambiente, ordenadores que se guardan las contrase?as de las redes sociales¡­ Todo eso se ha demostrado posible tanto te¨®ricamente como en la pr¨¢ctica. ?Es f¨¢cil, pr¨¢ctico y barato usarlo contra una persona en concreto? Normalmente no. ?Y para analizar a toda la poblaci¨®n en general? Probablemente tampoco. Con el tiempo veremos si, como afirma Julian Assange de Wikileaks, esta documentaci¨®n es tan "excepcional desde una perspectiva legal, pol¨ªtica y forense" como dice, y si se convierte en la mayor filtraci¨®n de la CIA o queda todav¨ªa algo por descubrir.